크롬 버그, 사이트들이 음성 및 영상을 알림 없이도 녹음/녹화할 수 있도록 허용
구글 크롬 브라우저에서 웹사이트들이 별도의 알림 없이 음성 및 비디오를 녹음/녹화할 수 있도록 허용하는 버그가 발견되었습니다.
이 버그를 악용하기 위해서는 악성 웹사이트가 사용자의 음성 및 영상 컴포넌트에 접근하도록 허가를 받아야 하긴 하지만, 이 이슈가 사용자의 음성 및 영상을 캡쳐하기 위해 방법이 될 수 있는 만큼 다양하게 악용될 수 있는 것으로 보입니다.
이 버그의 핵심 요소는 크롬이 오디오나 비디오 스트림을 기록할 때 보통 보여주는 “빨간 원과 점” 아이콘입니다. 보안전문가는 Bar-Zik은 WebRTC 코드를 실행하는 웹사이트를 살펴보던 중 이 버그를 발견했다고 전했습니다.
WebRTC는 실시간으로 인터넷을 통해 오디오 및 비디오 컨텐츠를 스트리밍하는 프로토콜입니다. 스트리밍을 위해서는 사용자가 웹사이트에 오디오/비디오 컴포넌트에 대한 접근 권한을 부여해야 합니다.
공격 코드는 크롬 팝업을 통해 실행 돼
Bar-Zik은 녹음/녹화 작업을 하는 코드가 권한이 부여 된 원래 탭에서만 실행되지 않아도 된다는 사실을 발견했습니다.
오디오 및 비디오 데이터에 대한 접근 권한이 전체 도메인에 부여 되었기 때문에, 헤드가 없는 크롬 창(팝업)을 실행해 오디오 및 비디오를 기록할 수 있는 코드를 실행할 수 있었습니다. 크롬은 빨간색 원과 점 아이콘을 창 탭에 표시하기 때문에, 헤드가 없는 윈도우에는 탭 바가 없어 이 아이콘이 노출되지 않습니다.
해당 버그를 구글에 제보했지만, 구글측은 보안이슈라고 판단하지 않아 긴급패치를 지원하지 않을 예정이라고 밝혔습니다. 그 이유는 이 공격이 성공하기 위해서는 사용자가 접근권한을 허용해 줘야 하기 때문입니다. 그렇기 때문에 공격으로부터 안전하려면, 사용자들은 웹사이트에서 요구하는 권한을 부여할 때 주의를 기울여야 할 것입니다.
출처 :
https://bugs.chromium.org/p/chromium/issues/detail?id=709952
해커들, 계정 없이도 FreeRADIUS에 로그인 가능해 (0) | 2017.05.31 |
---|---|
마이크로소프트, Malware Protection Engine의 심각한 두 번째 결점을 은밀히 패치 해 (1) | 2017.05.31 |
Judy 안드로이드 멀웨어, 3,650만 구글 플레이 스토어 사용자들 감염시켜 (2) | 2017.05.30 |
DLL 인젝션 공격이 가능한 윈도우 인스톨 취약점 주의! (0) | 2017.05.29 |
모든 안드로이드 폰의 제어권을 통째로 도난당할 수 있는 매우 위험한 공격에 취약 (0) | 2017.05.29 |
댓글 영역